122
скрывает содержание сообщения, противник не может изменить зашифрован-
ное сообщение значимым образом. Несмотря на интуитивную привлекатель-
ность этого заключения, оно абсолютно ложное. Мы продемонстрируем это,
показав, что ни одна из схем шифрования, рассмотренных нами до сих пор, не
обеспечивает целостность сообщения.
Шифрование с помощью поточных шифров . Рассмотрим простую шифро-
вальную схему, в которой Enck (m) вычисляет шифртекст c := tt(k) ⊕m, где tt —
псевдослучайный генератор. Шифртексты в этом случае могут быть очень легко
манипулируемы: переключение любого бита в шифртексте c приведет к переклю-
чению того же бита в сообщении, полученном при дешифровке. Так, зная шифр-
текст c который шифрует (возможно неизвестное) сообщение m, можно создать
модифицированный шифртекст cr, такой что mr := Deck (cr) равно m, но с одним
(или более одного) переключенным битом. Эта простая атака может иметь тя-
желые последствия. В качестве примера, рассмотрим случай, когда пользователь
шифрует некоторое количество долларов, которое он хочет перевести со своего
банковского счета, где эта сумма представлена в двоичной системе исчисления.
Переключение самого незначительно бита приводит к изменению суммы все-
го на $1, но переключение 11-го незначительного бита изменяет сумму на более
чем $1000! (Интересно, что противник в этом примере не знает, уменьшается или
увеличивается ли исходная сумма, т.е. происходит ли переключение с 0 на 1 или
наоборот. Но если противник обладает частичными знаниями о сумме, например,
для начала, что она меньше $1000, то внесенные им изменения могу иметь пред-
сказуемый эффект.) Обратим внимание, что эта атака не противоречит секретно-
сти шифровальной схемы (в значении Определения 3.8). На самом деле, эта же
самая атака применима к шифровальной схеме Вермана, что показывает, что даже
полная секретность недостаточна даже для самого базового уровня целостности.
Достарыңызбен бөлісу: